
	Portada \| Monotemáticos \| Secciones \| Desarrolladores \| Comunidad \| Servicios \| Servicios profesionales \| RSS

	DesarrolloWeb.com > Manuales > Análisis de ISO-27001:2005

Registrarse | Vuestras páginas | Foros del web | Lista de correo | Boletín de novedades

Generador METAs | Compras | Busca cursos

Desarrollo Freelance | Buscar proyectos | Buscar profesionales | Solicitar desarrollo

Breve resumen del estandar. Parte I

Se presentan a continuación las líneas que se consideran de especial interés para la aplicación de esta norma.

07/4/06 - Los párrafos siguientes son una breve descripción de los puntos que se considerarán en este texto para poder llegar finalmente y avalando la importancia de la documentación que es necesaria preparar y mantener.

Se consideró importante el mantener la misma puntuación que emplea el Estándar Internacional, para que, si fuera necesario, se pueda acceder directamente al mismo, para ampliar cualquier aspecto, por lo tanto, la numeración que sigue a continuación, no respeta la de este texto, pero sí la de la norma.

Introducción:

General:

Este estándar fue confeccionado para proveer un modelo para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS, la adopción del ISMS debe ser una decisión estratégica de la organización, pues el mismo está influenciado por las necesidades y objetivos de la misma, los requerimientos de seguridad, los procesos, el tamaño y la estructura de la empresa, la dinámica que implica su aplicación, ocasionará en muchos casos la escalada del mismo, necesitando la misma dinámica para las soluciones.

Aproximación (o aprovechamiento) del modelo:

Este estándar internacional adopta un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el ISMS en una organización.

Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación de los mismos.

Este estándar internacional adopta también el modelo “Plan-Do-Check-Act” (PDCA), el cual es aplicado a toda la estructura de procesos de ISMS, y significa lo siguiente:

Plan (Establecer el ISMS): Implica, establecer a política ISMS, sus objetivos, procesos, procedimientos relevantes para la administración de riesgos y mejoras para la seguridad de la información, entregando resultados acordes a las políticas y objetivos de toda la organización.
Do (Implementar y operar el ISMS): Representa la forma en que se debe operar e implementar la política, controles, procesos y procedimientos.
Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea aplicable, los procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión.
Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y correctivas, basados en las auditorías internas y revisiones del ISMS o cualquier otra información relevante para permitir la continua mejora del ISMS.

Aplicación:

Los requerimientos de este estándar internacional, son genéricos y aplicables a la totalidad de las organizaciones. La exclusión de los requerimientos especificados en las cláusulas 4, 5, 6, 7 y 8, no son aceptables cuando una organización solicite su conformidad con esta norma.

Estas cláusulas son:

4. ISMS.
5. Responsabilidades de la Administración
6. Auditoría Interna del ISMS
7. Administración de las revisiones del ISMS
8. Mejoras del ISMS.
(Estas cláusulas realmente conforman el cuerpo principal de esta norma)

Cualquier exclusión a los controles detallados por la norma y denominados como “necesarios” para satisfacer los criterios de aceptación de riegos, debe ser justificado y se debe poner de manifiesto, o evidenciar claramente los criterios por los cuales este riesgo es asumido y aceptado. En cualquier caso en el que un control sea excluido, la conformidad con este estándar internacional, no será aceptable, a menos que dicha exclusión no afecte a la capacidad y/o responsabilidad de proveer seguridad a los requerimientos de información que se hayan determinado a través de la evaluación de riesgos, y sea a su vez aplicable a las regulaciones y legislación vigente.

Normativas de referencia:

Para la aplicación de este documento, es indispensable tener en cuenta la última versión de:
“ISO/IEC 17799:2005, Information technology — Security techniques — Code of practice for information security management”

Seguir navegando a partir aquí:

+ 1 manual relacionado
+ 1 categoria relacionada

Autoría, licencia y acciones sobre este artículo

Informe de Alejandro Corletti Estrada*

Atención: Copyright. Este artículo no se puede reproducir sin la autorización expresa del autor.

* Para consultas técnicas utilizar la lista de correo.

Versión imprimible del artículo
Enviar artículo por e-mail

Publicar un comentario del artículo

Manuales relacionados con este artículo

Dentro de Análisis de ISO-27001:2005

Siguiente: Términos y definiciones dentro de la ISO-27001

Anterior: Introducción al análisis de ISO-27001:2005

< Indice de Análisis de ISO-27001:2005

Categorias relacionadas

A través de las categorías de nuestro directorio se pueden encontrar otro tipo de recursos relacionados con este artículo:

+ Entrar en Seguridad

Comentarios de los visitantes

Añadir un comentario del artículo
Aun no hemos recibido comentarios de este artículo.
Puedes ser el primero en enviar tu comentario.

Enlaces:

Maestrosdelweb

Ir arriba

Manuales relacionados
+	Análisis de ISO-27001:2005

Categorías
+	Seguridad

Tienda DesarrolloWeb

		DesarrolloWeb.com \| Copyright \| Anunciese \| Acerca de \| Datos legales \| Contacta \| Por GuiarteMultimedia

Alojamiento web